29. November 2017 Konferenz DatenTag Berlin Das Recht auf Datenportabilität aus Sicht der Datenschutzaufsicht Maria Wilhelm, Referentin der Stabsstelle Europa (LfDI BW) 29. November 2017 Konferenz DatenTag Berlin
I. Zweck und Bedeutung Verwandt mit Auskunftsrecht → Auskunft als erste Stufe der Rechtsdurchsetzung → Datenportabilität um Daten zu erhalten und zu nutzen Wahlmöglichkeiten des Betroffenen Befähigung des Betroffenen Kontrolle durch den Betroffenen
I. Zweck und Bedeutung Nebeneffekte: Ermöglichung des freien Flusses personenbezogener Daten Ermöglichung des Anbieterwechsels Entwicklung neuer Services
II. Vorgaben auf EU-Ebene Datenschutz morgen Datenschutz- Ausschuss Leitlinien (institutionalisiertes Gremium der europ. Datenschutz- behörden) Art. 29 Gruppe Working Papers (konsensuale Arbeits-gemeinschaft der europ. Datenschutz-behörden) „Empfehlung“ „Orientierung“
II. Vorgaben auf EU-Ebene Europäischer Datenschutzausschuss
III. Inhaltlicher Überblick Recht der betroffenen Person auf Erhalt in einem strukturierten, gängigen und maschinenlesbaren Format (Abs. 1) Recht der betroffenen Person auf Übermittlung (Abs. 2)
III. Inhaltlicher Überblick Grundvoraussetzungen: Personenbezogene Daten i.S.v. Art. 4 Nr. 1 DS-GVO Vom Betroffenen bereitgestellt Verarbeitung beruht auf Einwilligung oder Vertrag (Art. 6 Abs. 1 lit. b DS-GVO) Verarbeitung mithilfe automatisierter Verfahren Im Einzelfall Ausschluss bei Beeinträchtigung der Freiheiten anderer Personen (Art. 20 Abs. 4 DS-GVO, vgl. auch EWG 63)
III. Inhaltlicher Überblick Zwingende Beachtung der Prinzipien aus Art. 5 DS-GVO Keine automatische Löschung der Daten Keine Verzögerung der Löschverpflichtung aufgrund des Anspruchs nach Art. 20 DS-GVO Ergänzung durch das Auskunftsrecht aus Art. 15 DS-GVO
IV. Art und Weise der Übermittlung und Format Art und Weise der Übermittlung, u.a.: SFTP Server WebAPI WebPortal Format, u.a.: XML JSON CSV Kompatible Standards notwendig! (P) Vielfalt der Verarbeitungs- prozesse
V. Konkrete Umsetzung - Problemfelder Authentizitätskontrolle/Bsp. WebAPI: Möglichkeit des Abfangens großer Datenmengen → Gefahr vor Hackerangriffen! Lösung nach dem Stand der Technik: Absicherung durch Zwei-Faktor-Authentifizierung
V. Konkrete Umsetzung - Problemfelder Vertraulichkeit und Integrität der Übermittlung: Gefahr des Abfangens/Auslesens der Daten Lösung nach dem Stand der Technik: Sicherung: (Ende-zu-Ende-)Verschlüsselung
VI. Sanktionen bei Verstoß Art. 83 Abs. 1 DS-GVO: → „wirksam, verhältnismäßig und abschreckend“ Art. 83 Abs. 5 lit. b DS-GVO: Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes